Les services Kaseya VSA mis en ligne après une panne d’une semaine
3 min read
La grande majorité des utilisateurs exécutant la version SaaS (Software-as-a-Service) du produit de gestion de point de terminaison et de réseau VSA de Kaseya devraient désormais avoir rétabli leurs services alors que l’entreprise se remet d’une crise du 2 juillet. Attaque de ransomware REvil.
Kaseya a publié un correctif pour les vulnérabilités exploitées par REvil à ses clients sur site légèrement avant la date prévue dans l’après-midi du dimanche 11 juillet, et a commencé le processus de déploiement sur son infrastructure SaaS.
Dès le matin du lundi 12 juillet, a déclaré Kaseya, le processus était bien engagé. Dans un communiqué, la société a déclaré : « La restauration des services progresse, avec 95% de nos clients SaaS en direct et des serveurs mis en ligne pour le reste de nos clients dans les heures à venir. Nos équipes de support travaillent avec les clients VSA On-Premises qui ont demandé de l’aide avec le correctif.
Le correctif, la version VSA 9.5.7.a, corrige trois vulnérabilités et expositions communes (CVE) divulguées. Il s’agit de CVE-2021-30116, une fuite d’informations d’identification et une faille de logique métier ; CVE-2021-30119, une vulnérabilité de script inter-sites ; et CVE-2021-30120, un contournement d’authentification à deux facteurs.
Il résout également trois problèmes distincts, l’un où l’indicateur sécurisé n’était pas utilisé pour les cookies de session du portail utilisateur ; un cas où certaines réponses d’API contiendraient un hachage de mot de passe qui pourrait potentiellement exposer les mots de passe faibles à une attaque par force brute ; et un qui aurait pu permettre le téléchargement non autorisé de fichiers sur le serveur VSA.
Une description complète du correctif, y compris des instructions supplémentaires pour les utilisateurs sur site, et plus de détails sur les modifications apportées à la politique d’authentification, aux packages et procédures d’agent, et à certaines fonctionnalités qui doivent rester temporairement indisponibles en attendant une attention supplémentaire, peut être trouvé ici.
Les analystes de Huntress ont confirmé que lors de l’application du correctif, l’exploit de preuve de concept échoue et donc le vecteur d’attaque ne semblent avoir été éliminés. Cependant, pour certains utilisateurs des serveurs sur site, il peut toujours y avoir des inquiétudes quant au fait que leurs systèmes hors tension peuvent encore avoir des tâches en attente mises en file d’attente pour rançonner davantage de points de terminaison une fois qu’ils sont de nouveau en ligne. Les utilisateurs doivent donc s’assurer de les effacer.
Mises à niveau des fonctionnalités
Pendant ce temps, alors que Kaseya entame le processus d’avancement, la société est confrontée à des allégations d’anciens employés selon lesquelles elle aurait suscité des ennuis en donnant la priorité aux mises à niveau des produits et des fonctionnalités par rapport à la cybersécurité.
Selon Bloomberg, qui a parlé à certains des employés mécontents, certains ont apparemment démissionné par frustration, tandis qu’un autre qui aurait fourni à la direction de l’entreprise une note de 40 pages détaillant les problèmes avec VSA, dit qu’ils ont été licenciés quinze jours plus tard.
Parmi les allégations, Kaseya utilisait un code obsolète, ne parvenait pas à mettre en œuvre un cryptage approprié et ne corrigeait pas systématiquement ses produits. Les employés ont également déclaré que l’attaque REvil n’était pas la première fois que les produits Kaseya étaient exploités par des gangs de ransomware.
Dans un rapport fourni à Gizmodo, Kaseya a déclaré qu’il se concentrait sur son enquête et sur l’assistance aux clients touchés par l’attaque, et non sur des « spéculations aléatoires ».
